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(57) Abstract: The invention concerns a device and method for detecting and preventing intrusion into a computer network by de- 
tecting and blocking intrusions prior to breaking into the network. The method is characterized in that it comprises a step of detecting 
^| connections at the central point and before each branch of the network, and a step of selectively filtering said connections. Said se- 
^ lective filtering of connections includes a step of automatically identifying the access protocol, independently of the communication 
port used by the protocol. 
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(57) Abrege : La presente invention a pour objet un dispositif et un precede de detection et de prevention d'intrusion dans un reseau 
informatique par detection et blocage des intrusions avant penetration du reseau. Le precede est caracterise en ce qu'il comprend 
une etape de detection des connexions au niveau du point central et avant chaque branche du reseau, et une etape de filtrage selectif 
de ces connexions. Ce filtrage selectif des connexions comprend une etape de reconnaissance automatique du protocole accedant, 
independamment du port de communication utilise par le protocole. 
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DISPOSIT1F ET PROCEDE DE DETECTION ET DE PREVENTION 
D'INTRUSION DANS UN RESEAU INFORMATIQUE 

La presente invention a pour objet un dispositif et un procede de 
detection et de prevention d'intrusion dans un reseau informatique 
permettant de prevenir les intrusions en les detectant et en les bloquant 
avant penetration du reseau. 

Dans un reseau informatique, la disponibilite des donnees et ieur 
transmission dans un contexte de securite maximum est un probieme 
constant. La complexity grandissante des attaques necessite une 
protection de plus en plus sophistiquee et intelligente du reseau. II faut en 
effet pouvoir verifier le format et la destination des paquets qui transient, 
verifier Ieur contenu, memoriser I'historique des sessions pour en faire 
Panalyse sur une certaine duree, distinguer entre les vrais et les fausses 
alarmes remontees, et surtout reagir a I'attaque avant que celle-ci n'ait 
trop penetre au coeur du reseau. 

Parmi les solutions que Ton retrouve dans I'etat de la technique, on 
connaTt celles qui se basent sur le filtrage de paquets mais qui procurent 
un faible niveau de securite car seuls les en-tetes de paquets sont verifies. 
Le filtrage par proxy est une autre solution dans laquelle des filtres de 
contenu sont utilises par exemple pour bloquer Pacces a des sites web et 
filtrer les messages electroniques et les pieces jointes. Ces solutions ne 
sont pas congues pour bloquer les attaques et causent de tres grosses 
pertes de performance. En outre, elles ne respectent pas I'architecture du 
modele client serveur et necessitent un proxy par port de communication. 
On connaTt egalement une methode d'inspection de I'etat des connexions 
dans le but de permettre ou de refuser le trafic et d'obtenir de plus 
grandes performances, basee sur une table d'etat, mais qui la encore 
ignore les attaques. C'est le principe du pare-feu reseau, avec une 
variante correspondant au pare-feu applicatif dans lequel on ne se 
contente pas de verifier I'etat des connexions mais egalement le contenu. 



WO 2005/094035 



PCT/FR2005/000711 



2 

D'autres systemes complexes existent tel que les systemes de 
detection d'intrusion ou IDS (pour Intrusion Detection System), qui 
s'appuient sur une base de donnees de signatures d'attaques connues. 
Cette base doit etre mise a jour regulierement. Ces systemes presentent 
un inconvenient majeur qui est qu'ils ne bloquent pas Pattaque mais la 
detectent une fois qu'elle est passee. II est done bien souvent trop tard 
pour reagir pour des reseaux vulnerables qui peuvent etre compromis en 
quelque secondes. 

On connait aussi des systemes de prevention d'intrusion ou IPS 
(pour Intrusion Prevention System), qui sont en quelque sorte des IDS 
places en coupure de reseau et permettant de detecter et de bloquer les 
attaques. Ces systemes utilisent des procedes de detection plus elabores, 
qui combinent generalement une approche par scenario et une approche 
comportementale dans le but de limiter les fausses alarmes (generees en 
abondance par les IDS) et de detecter et bloquer les attaques, meme 
nouvelles. En reaction a une telle attaque, ces systemes reconfigurent le 
pare-feu reseau en consequence. Cependant, un des inconvenients de 
ces systemes est qu'ils ne peuvent detecter les attaques reparties sur 
plusieurs segments du reseau puisqu'ils operent sur une seule branche. 
Pour pouvoir proteger plusieurs branches, il faut plusieurs de ces 
systemes, ce qui complique considerablement leur gestion. Cette 
complexity est une source de faille de securite supplemental, a cote du 
cout eleve (achat, ('installation et maintenance). 

Par ailleurs, quels que soient les systemes de I'etat de la technique 
couramment utilises, les politiques de filtrage consistent essentiellement 
dans le blocage ou I'autorisation de certains numeros de port. Or, de plus 
en plus duplications communiquent sur des ports dynamiques ou 
variables, et certains applicatifs arrivent meme sur le marche avec comme 
objectif de contourner le pare-feu. La consequence est que si Ton ne peut 
garantir qu'une application donnee utilise un port donne, on ne peut pas 
appliquer un filtrage fige base sur une association figee application-port de 
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communication. En outre, le fait que les applications utilisent 
generalement le canal prealablement ouvert pour communiquer avec 
d'autres protocoles, et qu'il est necessaire de connaitre avec precision le 
fonctionnement d'un protocole pour trouver le port de communication a 
ouvrir ou a fermer, rend la notion d'autorisation de port pour une 
application peu fiable. 

II existe done un besoin d'une solution fiable qui permette de pallier 
les inconvenients precites, notamment concernant la protection d'un 
reseau comprenant de nombreux segments, et dans un contexte ou les 
attaques utilisent des ports de communication variables. 

C'est done I'objet de I'invention que de pallier ces inconvenients. A 
cette fin, I'invention se rapporte selon un premier aspect a un procede de 
detection et de prevention d'intrusion dans un reseau informatique 
comprenant une etape de detection des connexions au niveau du point 
central et avant chaque branche dudit reseau, et une etape de filtrage 
selectif desdites connexions par reconnaissance automatique du protocole 
accedant, independamment du port de communication utilise par ledit 
protocole. 

^invention se rapporte selon un deuxieme aspect a un dispositif de 
detection et de prevention d'intrusion dans un reseau informatique, 
integre dans un pare-feu situe sur le reseau, permettant ainsi de bloquer 
les attaques avant penetration sur ledit reseau avec une reaction 
instantanee (pas de delai entre emission d'une alerte et mise en pratique 
des ordres de reinitialisation). Un tel dipositifintegre au pare-feu protege 
I'ensemble des segments du reseau, sans qu'il soit necessaire d'installer 
des dispositifs specifiques sur chacun des segments. 

Dans une variante de mise en oeuvre du procede, le filtrage selectif 
des connexions, apres que ledit protocole accedant a ete 
automatiquement reconnu, consiste a verifier en permanence la 
conformite des communications circulant sur une connexion donnee au dit 
protocole, pour delivrer une autorisation dynamique pour les 
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communications resultant du fonctionnement normal du protocole et 
delivrer un refus dynamique pour les communications resultant d'un 
fonctionnement anormal du protocole. Plus precisement, tant que le 
protocole accedant d'une connexion n'est pas reconnu, les donnees sont 
acceptees mais non transmises. Si le nombre de paquets de donnees 
acceptees mais non transmises depasse un certain seuil, ou si les 
donnees sont acceptees mais non transmises depuis un certain temps 
depassant un certain seuil, alors la connexion est non autorisee. 

Le dispositif comprend un moyen de prevention des intrusions par 
analyse des communications, integre dans le pare-feu reseau, sur le point 
central et avant chaque branche du dit reseau, ledit moyen de prevention 
des intrusions comprenant un moyen de filtrage selectif des 
communications par reconnaissance automatique du protocole accedant, 
independamment du port de communication utilise par le protocole. 

Dans une variante de realisation, le moyen de filtrage selectif 
comprend au moins un module autonome d'analyse d'au moins un 
protocole de communication donne. Au moins un des modules autonomes 
comprend plus precisement une unite de reconnaissance automatique 
d'un protocole de communication donne, et une unite de verification de la 
conformite des communications circulant sur une connexion donnee au dit 
protocole, et est congu pour delivrer une autorisation dynamique pour les 
communications resultant du fonctionnement normal du protocole et 
delivrer un refus dynamique pour les communications resultant d'un 
fonctionnement anormal du protocole. 

Un tel dispositif et un tel procede permettent avantageusement de 
bloquer les attaques connues comme les attaques inconnues. 

Dans une variante de realisation, une interface permet a I'utilisateur 
de renseigner les criteres definissant la politique de filtrage, en les 
specifiant en langage naturel. En outre, le dispositif comporte un moyen 
de traitement statistique des informations de connexion, et un moyen de 
stockage de ces informations et des informations traitees (journaux 
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cTaudit), dans le but de simplifier la gestion ulterieure de ces informations. 

D'autres caracteristiques et avantages de Pinvention apparaitront 
plus clairernent et de maniere complete a la lecture de la description ci- 
apres des variantes preferees de mise en oeuvre du procede et de 
realisation du dispositif, lesquelles sont donnees a titre d'exemples non 
limitatifs et en reference aux dessins annexes suivants : 

figure 1 : represente schematiquement un reseau de type 

classique interconnecte a Internet, 

figure 2 : represente les details fonctionnels d'un pare-feu 

integrant le dispositif selon ('invention, 

figure 3 : represente schematiquement les details 

fonctionnels d'un analyseur de protocole du dispositif selon 

('invention, 

figure 4 : represente schematiquement un module 
autonome d'analyse de protocole de communication du 
dispositif selon ('invention, 

figure 5 : represente schematiquement le procede de 
detection et prevention d'intrusions selon ('invention 

La figure 1 represente schematiquement un reseau de type 
classique interconnecte a Internet, tel qu'on le connait dans I'etat de la 
technique. Dans cette configuration, on retrouve schematiquement trois 
zones au centre desquelles se trouve le pare-feu 1 . 

La premiere zone est une zone externe comme I'lnternet par 
exemple, referencee 2 sur la figure 1 . 

La seconde zone, referencee 3, communement appelee DMZ pour 
DeMilitarised Zone, est dotee d'une securisation intermediate entre 
Pexterieur et Pinterieur. Dans cette zone, on peut trouver un ou plusieurs 
serveurs 4. 

La troisieme zone est la zone interne a proprement parler, qui peut 
etre divisee en plusieurs segments. Le premier segment 5 correspond a la 
partie cablee du reseau interne et comprend eventuellement un ou 
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plusieurs serveurs 6. Les segments 7 et 8 correspondent respectivement a 
deux zones locales 9 et 10, chacune pouvant comprendre un ou plusieurs 
postes de travail respectivement references 11 et 12. 

Le dispositif et le procede de ('invention tirent partie de la position 
centrale du pare-feu dans ce type de configuration. 

La figure 2 represente les details fonctionnels d'un pare-feu 
integrant le dispositif selon invention. Ainsi, a Pinterieur du pare-feu 1, on 
retrouve les interfaces reseau 13 par lesquelles arrivent et repartent les 
donnees de communication, d'une part en provenance des ou vers les 
utilisateurs internes (a Pinterieur d'une entreprise par exemple) et les 
utilisateurs extemes (a Pexterieur de I'entreprise par exemple), et reperes 
par la reference 14, et d'autre part en provenance des et vers les 
ressources telles que les systemes d'information, les serveurs 
d'entreprise, et d'une fagon generate toute infrastructure client des 
serveurs d'entreprise, reperes par la reference 15. 

Par le terme utilisateur, externe ou interne, on entend non 
seulement les personnes physiques, mais egalement les applications par 
exemple, et, d'une fagon generate, les emetteurs et/ou recepteurs 
d'information qui communiquent sur le reseau. 

En amont des interfaces reseau 13, et, eventuellement, mais pas 
necessairement, a Pinterieur du pare-feu 1, les communications transitent 
par un module 16 de type NAT (Network Address Translation) qui met en 
ceuvre notamment la traduction d'adresses pour le routage, puis par un 
module 17 de type VPN (Virtual Private Network) qui met en oeuvre 
notamment un chiffrage et dechiffrage des donnees. 

Les donnees transitent enfin par le module 18 de detection et de 
prevention d'intrusion dans le reseau. Ce module 18 met en oeuvre le 
procede de Pinvention qui sera explique en detail plus loin. II met en 
oeuvre la politique de filtrage specifiee par Putilisateur (ou administrateur) 
190, par le biais d'une interface d'administration 19 permettant d'entrer les 
criteres definissant cette politique de filtrage en langage naturel. La saisie 
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de ces criteres pourra ainsi se faire par exemple en specifiant le nom cTun 
protocole, piutot que les ports probables utilises par ce protocole. C'est 
bien cette politique de filtrage qui sert de base a 1'analyse protocolaire 
mise en oeuvre dans le procede de Pinvention. 

Par ailleurs, le module de detection et de prevention d'intrusion 
dans le reseau genere des alarmes traitees par le module 20. Enfin, les 
informations de connexion qui transient dans ce pare-feu, sont transmises 
par le module 18 a un moyen 21 de type « journal d'audit », c'est-a-dire de 
stockage de Phistorique des connexions, apres un eventuel traitement. 

La figure 3 represente schematiquement les details fonctionnels 
d'un analyseur de protocole du dispositif selon ('invention, integre dans le 
module 18 de la figure 2. Sur cette figure 3, on retrouve done un module 
d'analyse 23 qui comprend un ou plusieurs modules 24, 25, 26 d'analyse 
specifique d'un protocole donne. Chacun de ces modules est relie a un 
moyen de stockage 27 dans lequel se trouvent stockees les donnees qui 
vont permettre de verifier la conformite a chacun des protocoles. Bien 
evidemment, le choix d'un unique moyen de stockage 27 pour Pensemble 
des donnees de tous les protocoles traites, n'est pas limitatif de Pinvention. 
On peut en effet envisager de stocker separement les donnees 
respectives de chaque protocole. Ce module 23 d'analyse regoit en entree 
les criteres de filtrage qui sont specifies par Putilisateur via ('interface 
d'administration 19, et qui sont eventuellement stockes dans un moyen de 
stockage 22. Ces criteres definissent notamment les modules 
effectivement actives, et ceux qui sont desactives. Chacun des modules 
actives 24, 25, 26 regoit en entree les donnees de connexion a analyser 
et, dans un premier temps, determine si ces donnees suivent le protocole 
pour lequel il a ete predefini. Si aucun module 24, 25, 26 ne reconnait le 
protocole, alors la connexion est consideree comme non analysee. 

La figure 4 represente schematiquement un module autonome 
d'analyse de protocole de communication du dispositif selon Pinvention. 
Ce module 24 comprend un sous-module 28 de reconnaissance 
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automatique du protocole, et un sous-module 29 de verification de 
conformite au protocole. Chacun des modules 24, 25, 26 de la figure 3 
est, dans sa structure et dans sa fonction, identique. Chacun de ces 
modules est autonome en ce qu'il peut etre ajoute a ou retire de 
I'ensemble sans bouleversement, en fonction des besoins (module de 
type « plugins »). 

Le dispositif de invention, decrit dans les figures 1 a 4, met en 
oeuvre le procede de ('invention qui va maintenant etre explique plus en 
detail, dans une variante de mise en oeuvre, et en reference a la figure 5. 

Si la couverture des protocoles est complete (dans ('ideal, un 
module autonome d'analyse par protocole possible), lorsqu'une nouvelle 
connexion se presente elle est automatiquement rattachee a un module 
d'analyse. On peut egalement utiliser, en plus des modules specifiques 
chacun dedie a un protocole donne, un module de type generique. Ce 
module permet de suivre le trafic pour lequel aucun des autres modules 
ne reconnait le protocole. Ceci est particulierement utile dans le cas 
notamment des attaques du type « data evasion ». 

Tant que ('identification du protocole n'est pas realisee, les donnees 
sont acceptees mais non transmises. A chaque fois qu'une nouvelle 
information arrive (reference 60), les fonctions de detection des differents 
modules autonomes sont executees en sequence (reference 65), module 
apres module. Lors de chaque execution, la fonction de detection retourne 
son avis sur le paquet de donnees (reference 70). Cet avis peut etre de 
trois types : 

a) protocole detecte ; le module a done reconnu automatiquement 
le protocole et sera charge de ('analyser, 

b) protocole non detecte, module generique present et active ; le 
module generique sera charge de ('analyse 

c) protocole non detecte, module generique absent ou present 
mais non active 

d) information insuffisante dans le paquet de donnees pour 
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detecter. 

Lorsque la fonction de detection repond par a) ou b),le module 
specifique ou le module generique d'analyse s'attache a la connexion 
(reference 75). 

En particulier, dans le cas b) ou le module generique mentionne 
plus haut est present et active, une connexion basee sur un protocole qui 
n'est reconnu par aucun des autres modules specifiques est 
automatiquement attachee a ce module generique (a I'etape referencee 
75). 

Dans le cas c), si ce module generique n'est pas present, ou est 
present mais non active, les donnees sont acceptees mais non transmises 
(reference 80). Si tous les modules repondent par c) ou d), alors la 
connexion est consideree comme non analysee, elle n'est done pas 
autorisee 

Par ailleurs, au-dela d'un certain seuil de paquets de donnees non 
identifies, et/ou au-dela d'un certain temps de tentatives d'identifications 
sans succes, ce qui est determine a I'etape referencee 85, revaluation se 
termine et un refus dynamique est genere (reference 90). Si le ou les 
seuils ne sont pas depasses, revaluation se termine et la et la connexion 
est consideree comme non analysee (reference 95). Ces seuils de nombre 
de paquet de donnees et/ou de temps peuvent etre predefinis et fixes 
dans le dispositif, ou parametrables par exemple par I'intermediaire de 
Tinterface 19 d'administration du dispositif. lis peuvent etre eventuellement 
calcules de fagon dynamique. 

Lorsque un module specifique est attache a la connexion (a I'etape 
referencee 75), celui-ci va verifier que les informations qui circulent sur 
ladite connexion correspondent bien au protocole detecte (reference 110). 
II s'agit done d'une verification de la conformite des donnees du protocole 
et une verification de I'utilisation qui est faite de ce protocole, ces 
verifications portant sur la grammaire et la syntaxe Ces verifications 
peuvent s'appuyer sur les standards qui definissent ces protocoles et leurs 
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usages tels que les RFC (Request for Comments) bien connus de 
i'homme du metier. 

Lorsque le module generique est attache a la connexion (a I'etape 
referencee 75), ce dernier ne verifie pas que les informations circulant sur 
ladite connexion correspondent bien au protocole detecte. En effet, par 
definition, le rattachement au module generique signifie qu'aucun 
protocole n'a ete reconnu par les autres modules. Dans ce cas, le module 
generique verifie la coherence des paquets. Cette verification de 
coherence peut porter par exemple sur le sequencement et les 
retransmissions. Dans ces cas, on verifie notamment que deux paquets de 
donnees successivement analyses sont strictement identiques ou non 
(reference 110). La stricte identite permet de verifier qu'un paquet, sense 
etre une retransmission, est bien la retransmission du precedent (attaque 
par « data evasion »). Si la retransmission attendue n'en est pas une, le 
paquet est bloque et la connexion est refusee ou terminee. 

On voit done que si la verification de conformite a un protocole 
donne prealablement reconnu ou la verification generique (reference 110), 
renvoient une reponse negative, ce qui est determine a I'etape referencee 
120, revaluation se termine et un refus dynamique est genere (reference 
90). Sinon, une autorisation dynamique est delivree (reference 125), et la 
boucle d'analyse multicouche se poursuit. 

Si un module specifique, et non le module generique, est attache, 
ce qui est determine a I'etape 100, le module associe au protocole 
immediatement hierarchiquement superieur au module precedemment 
attache, est automatiquement attache (a I'etape referencee 105) pour 
verification ulterieure de conformite (a I'etape reference 110). Sinon, le 
module generique reste attache et la boucle se poursuit par une 
verification generique a I'etape referencee 1 10. 

Chaque communication circulant sur une connexion est done soit 
dynamiquement autorisee, soit dynamiquement refusee, selon que le 
module de verification protocolaire attache a la connexion determine que 
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la communication resulte du fonctionnement normal ou anormal du 
protocole. 

Ainsi chaque module regoit systematiquement la nouvelle 
connexion en entree pour une detection de protocole dans un premier 
temps. Par consequent, cette detection qui, si elle est reussie, sera suivie 
d'une analyse du protocole, ne depend pas du port de communication 
utilise par ledit protocole, comme c'est generalement le cas dans Petat de 
la technique. De cette fagon, on s'affranchit des problemes lies a 
Putilisation de ports dynamiques par certaines applications. 

Par ailleurs, la verification du protocole, une fois reconnu, permet 
de s'affranchir des problemes lies aux applications qui utilisent un canal 
ouvert pour communiquer avec d'autres protocoles. En effet, dans ce 
dernier cas, une alarme sera generee car le module sense verifier un 
protocole donne detectera, a un moment ou a un autre, dans un paquet de 
donnees des informations non conformes au protocole initial. 

En outre, chaque module ainsi congu permet de delivrer une 
autorisation dynamique des connexions resultant du fonctionnement 
normal du protocole. II permet en effet d'obtenir les informations 
necessaires a Pouverture dynamique des connexions induites par le 
protocole, une connexion principale pouvant en effet induire une ou 
plusieurs connexions secondares (ou induites). Dans ce cas, il est 
indispensable que toutes les connexions secondaires soient bien 
rattachees a Pautorisation de la connexion principale. Seul un module 
d'analyse en profondeur et avec precision du fonctionnement du protocole 
peut connaTtre precisement les ports de communication a ouvrir et a 
fermer. 

L'analyse reseau mise en oeuvre par ces modules est une analyse 
multicouches : a chaque etape, le module courant analyse la partie du 
paquet de donnees correspondant au protocole pour lequel il est congu, et 
transmet Pautre partie au module d'analyse du protocole superieur dans la 
hierarchie (par exemple : Ethernet, puis IP, puis TCP, puis HTTP). 
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Ainsi, I'analyse basee sur la verification de la conformite du 
protocole et de son utilisation, definis par les standards tels que les RFC, 
permet entre autre de prevenir non seulement les attaques connues mais 
egalement les attaques inconnues. Tout trafic qui ne satisfait pas aux 
specifications de ces standards sera bloque en temps reel. En outre, les 
modules de reconnaissance automatique et d'analyse de protocole etant 
autonomes, ils peuvent etre ajoutes ou retires simplement, sans 
bouleverser le dispositif. Lorsqu'ils sont presents, ils peuvent aussi etre 
actives ou desactives simplement, en fonction de la politique de filtrage 
specifiee par Putilisateur. Ainsi, chaque nouvelle faille de securite pourra 
etre comblee aisement. Ces agents intelligents que constituent les 
modules de reconnaissance automatique et d'analyse de protocole, 
analysent en permanence les flux de trafic et s'attachent dynamiquement 
lorsqu'ils reconnaissent le protocole, independamment du port de 
communication utilise. 

L'ensernble de la description ci-dessus est donne a titre d'exemple, 
et est non limitatif de I'invention. En particulier, le pare-feu decrit ci-dessus 
pourra integrer un tres grand nombre d'autres modules fonctionnels en 
sus de ceux mentionnes ici. On pensera notamment a ('utilisation de 
proxies, bien connus de I'homme du metier. 

De meme, le fait que la description ci-dessus presente 3 modules 
24, 25, 26, de reconnaissance automatique et de verification d'un 
protocole donne, n'est pas limitatif de Pinvention. Le nombre total de tels 
modules depend du nombre de protocoles geres (HTTP, FTP, H323, DNS, 
RIP, ...). Par ailleurs, un module de type generique tel que decrit plus haut 
peut etre adjoint ou non, en fonction des besoins. Egalement, comme 
decrit plus haut, chaque modules, specifiques ou generique si ce dernier 
est present, peut etre simplement active ou desactive en fonction des 
besoins. Enfin, la verification effectuee par le module generique, 
notamment concernant le sequencement et la retransmission corrects des 
paquets (en particulier verification de la stricte identite de deux paquets de 
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donnees successivement analyses), n'est qu'un exemple de verification 
qui peut etre effectuee par un tel module. Tout autre verification non liee a 
la conformite a un protocole donne, entre dans la categorie des 
verifications generiques et pourra etre integree dans ledit module 
generique. 
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REVENDICATIONS 

1 . Procede de detection et de prevention d'intrusions dans un reseau 
informatique comportant un pare feu, comprenant une etape de 
detection des connexions au niveau du point central et avant 
chaque branche dudit reseau, une etape de filtrage selectif desdites 
connexions, ladite etape de filtrage selectif comprenant d'une part 
une etape de reconnaissance automatique du protocole accedant, 
independamment du port de communication utilise par ledit 
protocole, et d'autre part, apres que ledit protocole accedant a ete 
automatiquement reconnu, une etape de verification de la 
conformite de chaque communication circulant sur une connexion 
donnee audit protocole, pour delivrer une autorisation dynamique 
pour les communications resultant du fonctionnement normal du 
protocole et delivrer un refus dynamique pour les communications 
resultant d'un fonctionnement anormal du protocole, 
caracterise en ce que : 

ladite verification de conformite se fait couche par couche, par 
analyse protocolaire successive de chaque partie du paquet 
de donnees circulant sur la connexion correspondant a un 
protocole donne, du protocole le plus bas au protocole le plus 
haut, 

chaque connexion principale autorisee pouvant induire une ou 
plusieurs connexions secondaires, ladite verification de 
conformite detecte les informations necessaires a Fouverture 
desdites connexions secondaires et rattache lesdites 
connexions secondaires a I'autorisation de la connexion ladite 
connexion principale. 

2. Procede selon la revendication 1, caracterise en ce que, tant que le 
protocole accedant d'une connexion n'est pas reconnu, les 
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donnees sont acceptees mais non transmises. 

3. Procede selon la revendication 2, caracterise en ce que, si le 
nombre de paquets de donnees acceptees mais non transmises 
depasse un certain seuil, ou si tes donnees sont acceptees mais 
non transmises depuis un temps depassant un certain seuil, alors la 
connexion est consideree comme non analysee. 

4. Procede selon Tune quelconque des revendications 2 et 3, 
caracterise en ce que, si les donnees sont acceptees mais non 
transmises depuis un temps depassant un certain seuil, alors la 
connexion est consideree comme non analysee. 

5. Dispositif de detection et de prevention d'intrusions dans un reseau 
informatique, comportant un pare feu, un moyen de prevention des 
intrusions par detection des connexions, directement integre dans 
ledit pare feu sur le point central et avant chaque branche dudit 
reseau, ledit moyen de prevention des intrusions comprenant un 
moyen de filtrage selectif desdites connexions par reconnaissance 
automatique du protocole accedant independamment du port de 
communication utilise par ledit protocole, 

caracterise en ce que 

ledit moyen de filtrage selectif comprend au moins un 
module autonome d'analyse d'au moins un protocole de 
communication donne, 

au moins un des modules autonomes comprend : 

i. une unite de reconnaissance automatique d'un protocole 
de communication donne, 

ii. une unite de verification de la conformite des 
communication circulant sur une connexion donnee audit 
protocole , 

ce module autonome delivre une autorisation dynamique 
pour les communications resultant du fonctionnement normal 
du protocole, et delivre un refus dynamique pour les 
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protocole. 

6. Dispositif seion la revendication 5, caracterise en ce chaque 
module analyse la partie du paquet de donnees correspondant au 
protocole pour lequel il est congu, et transmet I'autre partie au 
module d'analyse du protocole superieur. 

7. Dispositif seion Tune quelconque des revendications 5 et 6, 
caracterise en ce qu'il comprend, en plus du ou des modules 
autonomes d'analyse d'un protocole de communication donne, un 
module autonome generique qui s'attache aux connexions pour 
lesquels le protocole n'a ete reconnu par aucun des autres dits 
modules autonomes. 

8. Dispositif seion I'une quelconque des revendications 5 a 7, 
caracterise en ce qu'il comporte une interface de renseignement 
des criteres definissant la politique de filtrage par Putilisateur. 

9. Dispositif seion la revendication 8, caracterise en ce que ladite 
interface regoit les criteres specifies en langage naturel par 
Putilisateur. 

10. Dispositif seion la revendication 9, caracterise en ce que lesdits 
criteres specifies en langage naturel comprennent au moins un nom 
de protocole. 

1 1 . Dispositif seion Pune quelconque des revendications 8 a 10, 
caracterise en ce que ladite interface permet d'activer ou de 
desactiver chacun desdits modules autonomes 

12. Dispositif seion Pune quelconque des revendications 5 a 11, 
caracterise en ce qu'il comporte un moyen de traitement statistique 
des informations de connexion et un moyen de stockage desdites 
informations de connexion et informations traitees. 
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